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@) Verfahren zum rechnergestutzten Austausch kryptographischer Schiussei zwischen einer 
Benutzercomputereinheit U und einer Netzcomputereinheit N 

(§) Die Erfindung betrifft ern Verfahren, mit dam ein Sitzungs- 
schlussei (K) zwischen einer Benutzercomputereinheit (U) 
und einer Netzcomputereinheit (N) vereinbart werden kann, 
ohne da(^ ein unbefugter Dritter nutzliche Information 
bezuglich der Schiussei Oder der Identitat der Benutzercom- 
putereinheit (U) erhalten kann. Dies wird erreicht durch die 
Einbettung des Prinztps des ENGamal Schlusselaustauschs 
in das erfindungsgemal^ Verfahren. Durch die Verwendung 
zweier Zufaltszahlen (t, r) wird die Aktualitat des Sitzungs- 
schlussels (K) gewahrleistet. Der Sitzungsschtussel (K) 
selbst wird niemals Obertragen und kann somit nicht von 
einem unbefugten Dritten ermittelt werden. 
Au&erdem bietet das erfindungsgemaSe Verfahren zusatzii- 
che Slcherheitsmechanismen, wie z. B. die explizite Authen- 
tifikation der Netzcomputereinheit (N) durch die Benutzer- 
computereinheit (U) Oder auch die Bestatigung des Sit- 
zungsschlussels (K) von der Netzcomputereinheit (N) an die 
Benuuercomputereinheit (B). 
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Beschreibung 

Informationstechnische Systeme unterliegen ver- 
schiedenen Bedrohungen. So kann z. B. Qbertragene In- 
formation von einem unbefugten Dritten abgehort und 5 
verandert werden. Eine weitere Bedrohung bei der 
Kommunikation zweier Kommunikationspartner liegt 
in der Vorspiegelung einer falschen Identit&t eines 
Kommunikauonspartners. 

Diesen und weiteren Bedrohungen wird durch ver- 10 
schiedene Sicherheitsmechanismen, die das informa- 
tionstechnisciie System vor den Bedrohungen schutzen 
sollen, begegnet Ein zur Sicherung verwendeter Sicher- 
heitsmechanismus ist die VerschlQsselung der ubertra- 
genen Daten. Damit die Daten in einer Kommunika- is 
tionsbeziehung zwischen zwei Kommunikationspart- 
nern verschliisselt werden konnen, mussen vor der 
Obertragung der eigentiichen Daten erst Schritte 
durchgefuhrt werden, die die VerschlQsselung vorberei- 
ten. Die Schritte kdnnen z, B. darin bestehen, daB sich 20 
die beiden Kommunikationspartner auf einen Ver- 
schlQsselungsalgorithmus einigen und daB ggf. die ge- 
meinsamen geheimen SchlQssel vereinbart werden. 

Besondere Bedeutung gewinnt der Sicherheitsmecha- 
nismus Verschliisselung bei Mobilfunksystemen, da die 25 
ubertragenen Daten in diesen Systemen von jedem 
Dritten ohne besonderen zusatzlichen Aufwand abge- 
hort werden kdnnen. 

Dies fiihrt zu der Anforderung. eine Auswahl bekann- 
ter Sicherheitsmechanismen so zu treffen und diese Si- 30 
cherheitsmechanismen geeignet zu kombinieren, sowie 
Kommunikationsprotokoile zu spezifizieren. daB durch 
sie die Sicherheit von informationsteclinischen Syste- 
men gewShrleistet wird 

Es sind verschiedene asymmetrische Verfahren zum 35 
rechnergestutzen Austausch kryptographischer Schliis- 
sei bekannt Asymmetrische Verfahren, die geeignet 
sind fur Mobilfunksysteme, sind (A. Aziz, W. Diffie, "Pri- 
vacy and Authentication for Wireless Liocal Area Net- 
works", IEEE Personal Communications, 1994, S. 25 bis 40 
31) und (M. Beller, "Proposed Authentication and Key 
Agreement Protocol for PCS". Joint Experts Meeting on 
Privacy and Authentication for Personal Communica- 
tions, P&A JEM 1993, 1993, S. 1 bis 1 1), 

Das in (A. Aziz, W. Diffie. "Privacy and Authentication 45 
for Wireless Local Area Networks", IEEE Personal 
Communications, 1994, S, 25 bis 31) beschriebene Ver- 
fahren bezieht sich ausdriicklich auf lokale Netzwerke 
und stellt h5here Rechenleistungsanforderungen an die 
Computereinheiten der Kommunikationspartner w£Lh- 50 
rend des SchlCsselaustauschs. AuBerdem wird in dem 
Verfahren mehr Obertragungskapazitat benotigt als in 
dem erfindungsgemaBen Verfahren, da die Lange der 
Nachrichten groBer ist als bei dem erfindungsgemaBen 
Verfahren. 55 

Das in (M. Beller, "Proposed Authentication and Key 
Agreement Protocol for PCS", Joint Experts Meeting on 
Privacy and Authentication for Personal Communica- 
tions, P&A JEM 1993, 1993, S. 1 bis 11) beschriebene 
Verfahren hat einige grundlegende Sicherheitsziele eo 
nicht realisiert. Die explizite Authentifikation des Net- 
zes durch den Benutzer wird nicht erreicht AuBerdem 
wird ein vom Benutzer an das Netz Qbertragener 
SchlQssel vom Netz nicht an den Benutzer bestatigt 
Auch eine Zusicherung der Frische (Aktualitat) des 65 
SchlQssels fur das Netz ist nicht vorgesehea Ein weite- 
rer Nachteil dieses Verfahrens besteht in der Beschran- 
kung auf das Rabin- Verfahren bei der impliziten Au- 
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thentifizierung des Schltissels durch den Benutzer. Dies 
schrankt das Verfahren in einer flexibieren Anwendbar- 
keit ein. AuBerdem ist kein Sicherheitsmechanismus 
vorgesehen, der die Nichtabstreitbarkeit von Qbertrage- 
nen Daten gewihrleistet. Dies ist ein erheblicher Nach- 
teil vor allem auch bei der Erstellung unanfechtbarer 
Gebuhrenabrechnungen fur ein Mobilfunksystem. Auch 
die Beschrankung des Verfahrens auf den National In- 
stitute of Standards in Technology Signature Standard 
(NIST DSS) als verwendete Signaturfunktion schrSnkt 
das Verfahren in seiner allgemeinen Verwendbarkeit 
ein. 

Aus der US-Patentschrift US 5 222 140 ist ein Verfah- 
ren bekannt, bei dem unter Verwendung sowohl eines 
offentlichen als auch eines geheimen Schltissels sowie 
unter Verwendung einer Zufallszahl ein Sitzungsschiiis- 
sel erzeugt wird. Dieser wird mit einem offentlichen 
Schlussel verknupft 

Dieses Verfahren weist im Vergleich zu dem erfin- 
dungsgemaBen Verfahren weniger realisierte grundle- 
gende Sicherheitsziele auf. 

Weiterhin ist aus der Patentschrift US 5 153 919 ein 
Verfahren beschrieben, bei dem eine Benutzereinheit 
sich gegeniiber einer Netzeinheit identifiziert Anschlie- 
Bend findet unter Anwendung einer Hash-Funktion zwi- 
schen der Benutzereinheit und der Netzeinheit ein Au- 
thentifizierungsprozeB statt 

Weitere sichere Kommunikationsprotokoile, die aber 
wesentliche grundlegende Sicherheitsziele nicht reali- 
sieren, sind bekannt (M. Beller et al. Privacy and Au- 
thentication on a Portable Communication System, 
IEEE Journal on Selected Areas in Communications, 
Vol. 1 1, No. 6, S. 821 -829, 1993> 

Das Problem der Erfindung liegt darin, ein Verfahren 
zum rechnergestiitzten Austausch kryptographischer 
Schlussel anzugeben, das die oben genannten Nachteile 
vermeidet. 

Dieses Problem wird durch das Verfahren gemSB Pa- 
tentanspruch I gelost 

Die durch das erfindungsgemaBe Verfahren erreich- 
ten Vorteile liegen vor allem in einer erheblichen Re- 
duktion der Lange der ubertragenen Nachrichten und in 
der Realisierung weiterer Sicherheitsziele. 

Durch das erfindungsgemaBe Verfahren werden fol- 
gende Sicherheitsziele realisiert: 

— Gegenseitige explizite Authentifizierung von 
dem Benutzer und dem Netz, d. h. die gegenseitige 
Verif izierung der behaupteten Identitat, 

— Schlusselvereinbarung zwischen dem Benutzer 
und dem Netz mit gegenseitiger impliziter Authen- 
tifizierung, d. h. daB durch das Verfahren erreicht 
wird, daB nach AbschluB der Prozedur ein gemein- 
samer geheimer Sitzungsschlussel zur Verftigung 
steht, von dem jede Partei weiB, daB nur das au- 
thentische Gegeniiber sich ebenfalls im Besitz des 
geheimen Sitzungsschlussels befinden kann, 

— Zusicherung der Frische (Aktualitat) des Sit- 
zungsschlussels fiir den Benutzer, 

— gegenseitige Bestatigung des SitzungsschlQssels 
von dem Benutzer und dem Netz, d. h. die Bestati- 
gung, daB das Gegenuber tatsachlich im Besitz des 
vereinbarten geheimen Sitzungsschlussels ist 

Durch die Weiterbildung gemaB Patentanspruch 2 
wird das Sicherheitsziel der Zusicherung der Frische 
(Alctualitat) des Sitzungsschlussels fur das Netz reali- 
siert 
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Die Weiterbildung des erfindungsgemaQen Verfah- 
rens gemaB Patentanspruch 3 ermoglicht die Verwen- 
dung von temporSren Benutzeridentititen. 

Durch die Weiterbildung des erfindungsgemaBen 
Verfahrens gemaS Patentanspruch 4 wird das Sicher- 5 
heitsziel der Benutzeranonymitat reaiisiert, d. h. die Ver- 
traulichkeit der Identitat des Benutzers gegenOber Drit- 
ten. 

Durch die Weiterbildung des erfindungsgemaBen 
Verfahrens gemaB Patentanspruch 6 wird zusStzlich das 10 
Sicherheitsziei der Nichtabstreitbarkeit von Daten rea- 
iisiert, die vom Benutzer an das Netz gesendet wurden. 

Das erfindungsgemaBe Verfahren ist aufierdem sehr 
ieicht an unterschiedliche Anforderungen anpaBbar, da 
es sich nicht auf bestimmte Algorithmen fur Signaturbil- 15 
dung und Verschliisselung beschrinkL 

Weiterbildungen der Erfindung ergeben sich aus den 
abhangigen Anspruchen. 

Die Zeichnungen stellen bevorzugte Ausfiihrungsbei- 
spiele der Erfindung dar, die im folgenden naher be- 20 
schrieben werden> 

Es zeigen 

Fig. 1 ein Ablaufdiagramm, das das erfindungsgema- 
Be Verfahren gemaB Patentanspruch 1 darstellt; 

Fig. 2 ein Diagramm, das das erfindungsgemaBe Ver- 25 
fahren mit zusatzlich realisierten Sicherheitszielen ge- 
maB einiger abhangiger Patentanspruche beschreibt 

Anhand der Fig- 1 und 2 wird die Erfindung weiter 
eriautert. 

In den Fig. 1 und 2 sind durch zwei Skizzen der Ab- 30 
lauf des erfindungsgemaBen Verfahrens dargestellt. Das 
erfindungsgemaBe Verfahren betrifft den Austausch 
kryptographischer Schliissel zwischen einer Benutzer- 
computereinheit U und einer Netzcomputereinheit N, 
wobei unter der Benutzercomputereinheit U eine Com- 35 
putereinheit eines Benutzers eines Mobilfunknetzes zu 
verstehen ist und unter einer Netzcomputereinheit N 
eine Computereinheit des Netzbetreibers eines Mobil- 
funksystems zu verstehen 1st 

Die Erfindung beschrankt sich jedoch nicht auf ein 40 
Mobilfunksystem und somit auch nicht auf einen Benut- 
zer eines Mobilfunksystems und das Netz, sondern kann 
in alien Bereichen angewendet werden, in denen ein 
kryptographischer Schliisselaustausch zwischen zwei 
Kommunikationspartnern benotigt wird. Dies kann z. B. 45 
in einer Kommunikationsbeziehung zwischen zwei 
Rechnern, die Daten in verschliisselter Form austau- 
schen wollen, der Fall sein. Ohne Beschrankung der All- 
gemeingultigkeit wird im folgenden also ein erster 
Kommunikationspartner als Benutzercomputereinheit 50 
U und ein zweiter Kommunikationspartner als Netz- 
computereinheit N bezeichnei. 

Fiir das erfindungsgemaBe Verfahren gemaB An- 
spruch 1 wird vorausgesetzt, daB in der Benutzercom- 
putereinheit U ein vertrauenswiirdiger offentiicher 55 
Netzschlussel g* der Netzcomputereinheit N verfiigbar 
ist und daB in der Netzcomputereinheit N ein vertrau- 
enswiirdiger offentiicher Benutzerschliissel ou der Be- 
nutzercomputereinheit U verfUgbar ist, wobei g ein er- 
zeugendes Element einer endlichen Gruppe ist eo 

In der Benutzercomputereinheit U wird eine erste 
Zufaliszahi t generiert Aus der ersten Zufaliszahl t wird 
mit Hilfe des erzeugenden Elements g einer endlichen 
Gruppe in der Benutzercomputereinheit U ein erster 
Wert g* gebildet 65 

Asymmetrische Verfahren beruhen im wesentlichen 
auf zwei Problemen der Kompiexitatstheorie, dem Pro- 
blem zusammengesetzte Zahlen effizient zu faktorisie- 
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ren, und dem diskreten Logarithmusproblem (DLP). 
Das DLP besteht darin, daB in geeigneten Rechenstruk- 
turen zwar Exponentiationen effizient durchgefiihrt 
werden konnen. daB jedoch fUr die Umkehrung dieser 
Operation, das Logarithmieren, keine effizienten Algo- 
rithmen bekannt sind. 

Solche Rechenstrukturen sind z, B. unter den oben 
bezeichneten endlichen Gruppen zu verstehen. Diese 
sind z. B. die multiplikative Gruppe eines endlichen K5r- 
pers (z. B. Multiplizieren Modulo p, wobei p eine groBe 
Primzahl ist), oder auch sogenannte "elliptische Kur- 
ven". EUiptische Kurven sind vor allem deshalb interes- 
sant, weil sie bei gieichem Sicherheiuniveau wesentliche 
kurzere Sicherheitsparameter erlauben. Dies betrifft die 
Lange der offentiichen Schlussel, die Linge der Zertifi- 
kate, die Lange der bei der SitzungsschlQsselvereinba- 
rung auszutauschenden Nachrichten sowie die Lange 
von digitalen Signaturen. die jeweils im weiteren be- 
schrieben werdea Der Grund dafur ist, daB die fur ellip- 
tische Kurven bekannten Logarithmierverfahren we- 
sentlich weniger effizient sind als die fiir endliche Kor- 
per. 

Eine groBe Primzahl in diesem Zusammenhang be- 
deutet, daB die GroBe der Primzahl so gewahlt werden 
muB, daB die Logarithmierung so aufwendig ist, daB sie 
nicht in vertretbarer Zeit durchgefiihrt werden kann. 
Vertretbar bedeutet in diesem Zusammenhang einen 
Zeitraum entsprechend der Sicherheitspolitik von meh- 
reren Jahren bis Jahrzehnten und langer. 

Nach der Berechnung des ersten Werts g^ wird eine 
erste Nachricht Ml codiert die mindestens den ersten 
Wert g* aufweist Die erste Nachricht Ml wird von der 
Benutzercomputereinheit U an die Netzcomputerein- 
heit N Qbertragen, 

In der Netzcomputereinheit N wird die erste Nach- 
richt Ml decodiert Die erste Nachricht Ml kann auch 
uber einen unsicheren Kanal, also auch iiber eine Luft- 
schnittstelle, unverschiiisselt iibertragen werden. da die 
Logarithmierung des ersten Wertes g^ nicht in vertret- 
barer Zeit durchgefiihrt werden kann. 

Wie in Fig. 2 beschrieben, kann es vorgesehen sein, 
daB in der Netzcomputereinheit N eine zweite Zufalis- 
zahl r generiert wird. Durch diesen zusatzlichen Verfah- 
rensschritt wird ein zusatzliches Sicherheitsziei reaii- 
siert: die Zusicherung der Frische (Aktualitat) eines im 
folgenden beschriebenen Sitzungsschlussels K fur die 
Netzcomputereinheit N. 

In der Netzcomputereinheit N wird mit Hilfe einer 
ersten Hash-Funktion hi ein Sitzungsschlussel K gebil- 
det Als eine erste EingangsgroBe der ersten Hash- 
Funktion hi wird mindestens ein erster Term verwen- 
det Der erste Term wird gebildet, indem der erste Wert 
g^ potenziert wird mit einem geheimen Netzschltissels. 

Unter einer Hash-Funktion ist in diesem Zusammen- 
hang eine Funktion zu verstehen, bei der es nicht mog- 
lich ist, zu einem gegebenen Funktionswert einen pas- 
senden Eingangswert zu berechnen. Ferner wird einer 
beliebig iangen Eingangszeichenfolge eine Ausgangs^ 
zeichenfolge fester Lange zugeordnet Des weiteren 
wird fiir die Hash-Funktion in diesem Zusammenhang 
Koliisionsfreiheit gefordert, d. h. es darf nicht moglich 
sein, zwei verschiedene Eingangszeichenfolgen zu fin- 
den, die dieselbe Ausgangszeichenfolge ergeben. 

Wenn die zweite Zufaliszahl r verwendet wird. so 
weist die erste EingangsgrdBe der ersten Hash-Funk- 
tion hi zusatzlich mindestens die zweite Zufaliszahl r 
auf. 

Nun wird in der Netzcomputereinheit N eine Ant- 
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wort A gebildet Zur Bildung der Antwort A sind ver- 
schiedene Varianten vorgeseheiu So ist es z. B. mogiich, 
daB mit dem SitzungsschlQssel K unter Verwendung 
einer VerschlQsselungsfunktion Enc eine Konstante 
const verschlQsselt wird Die Konstante const ist sowohl 5 
der Benutzercomputereinheit U als auch der Netzcom- 
putereinheit N bekannt Auch die VerschlQsselungs- 
funktion Enc ist sowohl der Netzcomputereinheit N als 
auch der Benutzercomputereinheit U als die in dem er- 
findungsgemaBen Verfahren zu verwendende Ver- 10 
schlusselungsfunktion bekannt 

Eine weitere Mdglichkeit, die Antwort A zu bilden 
liegt z. B. darin, daB der SitzungsschlUssel K als Ein- 
gangsgrdOe fQr eine dritte Hash-Funktion h3 verwendet 
wird und der "gehashte" Wert des Sitzungsschlussels K 15 
als Antwort A verwendet wird Weitere Moglichkeiten, 
die Antwort A zu bilden, die zur Oberprufung des Sit- 
zungsschlussels K in der Benutzercomputereinheit U 
verwendet wird, sind dem Fachmann gelaufig und kon- 
nen als Varianten zu den beschriebenen Vorgehenswei- 20 
sen verwendet werden. 

Eine Aneinanderreihung der zweiten Zufallszahl r, 
der Antwort A, sowie ein optionales erstes Datenfeld 
datl bilden eine zweite Nachricht M2. Die zweite Zu- 
fallszahl r und das optionale erste Datenfeld datl sind 25 
nur in der zweiten Nachricht 112 enthalten, wenn diese 
in dem erfindungsgemaBen Verfahren vorgesehen wer- 
den. 

Die zweite Nachricht M2 wird in der Netzcompute- 
reinheit N codiert und zu der Benutzercomputereinheit 30 
U iibertragen. 

In der Benutzercomputereinheit U wird die zweite 
Nachricht M2 decodiert, so daB die Benutzercompute- 
reinheit U eventuell die zweite Zufallszahl r. die Ant- 
wort A sowie eventuell das optionale erste Datenfeld 35 
datl zur Verfiigung hat Die Lange des optionalen er- 
sten Datenfeldes datl kann beliebig groB sein, d. h. es ist 
auch mogiich, daB das optionale erste Datenfeld datl 
nicht vorhanden ist 

In der Benutzercomputereinheit U wird nun ebenfails 40 
der SitzungsschlQssel K gebildet, mit Hilfe der ersten 
Hash-Funktion hi, die sowohl der Netzcomputereinheit 
N als auch der Benutzercomputereinheit U bekannt ist 
Eine zweite EingangsgrdBe der ersten Hash-Funktion 
hi zur Bildung des Sitzungsschlussels KL in der Benut- 45 
zercomputereinheit U weist mindestens einen zweiten 
Term auf. Der zweite Term wird gebildet aus einer Ex- 
ponentation eines dffentlichen Netzschlussels g^ mit der 
ersten Zufallszahl t Wenn die Verwendung der zweiten 
Zufallszahl r in dem erfindungsgemaBen Verfahren vor- 50 
gesehen wird, so weist die zweite EingangsgroBe der 
ersten Hash-Funktion hi zur Bildung des Sitzungs- 
schlussels K in der Benutzercomputereinheit U zusatz- 
lich die zweite Zufallszahl auf. 

Durch die Verwendung der ersten Zufallszahl t und 55 
der zweiten Zufallszahl r bei der Generierung des Sit- 
zungsschlQssels K wird die Aktualitat des Sitzungs- 
schlussels K gewahrleistet, da jeweils die erste Zufalls- 
zahl t als auch die zweite Zufallszahl r nur fur jeweils 
einen SitzungsschlQssel K verwendet werden. go 

Somit wird eine Wiedereinspielung eines alteren 
SchlOssels als Sitzungsschiussei K verhlndert Die Ak- 
tualitat des Sitzungsschlussels K ist auch bedeutend im 
Zusammenhang mit der Fragestellung, wie groB die er- 
ste Zufallszahl t sowie die zweite Zufallszahl r sein mus- 65 
sen. Dies wird deutlich, da eine geringere Lange der 
Zufallszahlen das DLP- Problem verringem, d h. je kur- 
zer die Zufallszahl ist, desto einfacher ist die Logarith- 



mierung, also z. B. das Herausfinden der ersten Zufalls- 
zahl t aus dem ersten Wert gK Wenn aber fur jeden 
neuen SitzungsschlQssel K andere ZufaUszahlen ver- 
wendet werden, so ist die Wahrscheiniichkeit, daB der 
verwendete SitzungsschlQssel K von einem unbefugten 
Dritten schon herausgefunden wurde, wesentlich gerin- 
ger. Damit ist die Gefahr, dafl der Teil einer Nachricht, 
der mit dem SitzungsschlQssel K verschlQsselt ist, von 
einem unbefugten Dritten entschlusselt werden kann, 
erheblich reduziert 

Nachdem in der Benutzercomputereinheit U der Sit- 
zungsschlQssel K gebildet wurde, wird anhand der emp- 
fangenen Antwort A QberprQft, ob der in der Benutzer- 
computereinheit U gebildete SitzungsschlQssel K. mit 
dem SitzungsschlQssel K, der in der Netzcomputerein- 
heit N gebildet wurde, ubereinstimmt Abhangig von 
den im vorigen beschriebenen Varianten zur Bildung 
der Antwort A sind verschiedene Moglichkeiten vorge- 
sehen, den SitzungsschlQssel K anhand der Antwort A 
zu uberprufen. 

Eine Moglichkeit besteht z. B. darin, daB, wenn die 
Antwort A in der Netzcomputereinheit N durch Ver- 
schlQsselung der IConstante const mit dem Sitzungs- 
schlQssel K unter Verwendung der VerschlQsselungs- 
funktion Enc gebildet wurde, die Antwort A entschlQs- 
selt wird, und somit die Benutzercomputereinheit U ei- 
ne entschlQsselte Konstante const' erhait, die mit der 
bekannten Konstante const verglichen wird 

Die CberprQfung des Sitzungsschlussels K anhand 
der Antwort A kann auch durchgefQhrt werden, indem 
die der Benutzercomputereinheit U bekannte Konstan- 
te const mit dem in der Benutzercomputereinheit U 
gebildeten Siuungsschlussel K unter Verwendung der 
VerschlQsselungsfunktion Enc verschlQsselt wird und 
das Ergebnis mit der Antwort A auf Obereinstimmung 
gepruft wird. Diese Vorgehensweise wird z. B. auch ver- 
wendet, wenn die Antwort A in der Netzcomputerein- 
heit N gebildet wird indem auf den SitzungsschlQssel K 
die dritte Hash-Funktion h3 angewendet wird. In diesem 
Fall wird in der Benutzercomputereinheit U der in der 
Benutzercomputereinheit U gebildete SitzungsschlQssel 
K als EingangsgroBe der dritten Hash-Funktion h3 ver- 
wendet Der "gehashte" Wert des in der Benutzercom- 
putereinheit U gebildeten SitzungsschlQssels K wird 
dann mit der Antwort A auf Obereinstimmung geprQft 
Damit wird das Ziel der Schlusselbestatigung des Sit- 
zungsschlussels K erreicht 

Dadurch, daB bei der Berechnung des SitzungsschlQs- 
sels K in der Netzcomputereinheit N der geheime Netz- 
schlQssel s und bei der Berechnung des SitzungsschlQs- 
sels K in der Benutzercomputereinheit U der offentliche 
NetzschlQssel g* verwendet werden, wird die Netzcom- 
putereinheit N durch die Benutzercomputereinheit U 
authentifiziert Dies wird erreicht, vorausgesetzt daB fur 
die Benutzercomputereinheit U bekannt ist, daB der of- 
fentliche NetzschlQssel tatsachlich zur Netzcompute- 
reinheit N gehdrt 

Im AnschluB an die Bestatigung des SitzungsschlQs- 
sels K durch OberprQfung der Antwort A wird ein Si- 
gnaturterm berechnet Hierzu wird mit Hilfe einer zwei- 
ten Hash-Funktion h2 eine vierte EingangsgrdBe gebil- 
det Die zweite Hash-Funktion h2 kann, muB aber nicht 
dieselbe Hash-Funktion sein wie die erste Hash-Funk- 
tion hi. Als eine dritte EingangsgroBe fQr die zweite 
Hash-Funktion h2 wird ein Term verwendet, der minde- 
stens den SitzungsschlQssel K enthait Weiterhin kann 
die dritte EingangsgroBe das optionale erste Datenfeld 
datl Oder auch ein optionales zweites Datenfeld dat2 
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enthalten, wenn deren Verwendung in dem erfindungs- 
gemaBen Verfahren vorgesehen wird. 

£s kann spater nicht abgestritten werden, daB die 
Daten, die ira ersten optionale Datenfeld datl und im 
zweiten optionalen Datenfeld dat2 enthalten sind, von 
der Benutzercomputereinheit U gesendet wurden. 

Die in dem ersten optionalen Datenfeld datl und in 
dem zweiten optionalen Datenfeld dat2 enthaltenen Da- 
ten kdnnen z. B, Telefonnummem, die aktuelle Zeit oder 
ahnliche hierfiir geeignete Parameter sein. Diese Infor- 
mation kann als Werkzeug fUr eine unanfechtbare Ge- 
bQhrenabrechnung verwendet werden. 

Unter Verwendung einer ersten Signaturfunktion Si- 
gu wird der Signaturterm aus mindestens der vierten 
EingangsgroBe gebiidet Um einen hoheren Sicherheits- 
grad zu erzielen, kann der Signaturterm verschliisselt 
werden. Der Signaturterm wird in diesem Fall mit dem 
Sitzungsschliissel K unter Verwendung der Verschliis- 
selungsfunktion Enc verschlOsselt und bildet den ersten 
verschliisselten Term VTl. 

AuBerdem wird, falls das Sicherheitsziel "Anonymitat 
des Benutzers"* realisiert werden soU ein zweiter ver- 
schlusselter Term VT2 berechnet, in dem eine Identi- 
tatsgrCfle IMUI der Benutzercomputereinheit U mit 
dem SitzungsschlOssel K mit Hilfe der Verschlussel- 
ungsfunktion Enc verschliisselt wird- Bei Verwendung 
eines optionalen zweiten Datenfeldes dat2 wird in der 
Benutzercomputereinheit U ein dritter verschliisselter 
Term VT3 berechnet, indem das optionale zweite Da- 
tenfeld dat2 mit dem Sitzungsschliissel K unter Verwen- 
dung der VerschlQsselungsfunktion Enc verschliisselt 
wird, das optionale zweite Datenfeld dat2 kann auch 
unverschliisselt ubertragen werden. 

In der Benutzercomputereinheit U wird eine dritte 
Nachricht M3 gebiidet und codiert, die mindestens den 
Signaturterm und die IdentitatsgroBe |MLI| der Benut- 
zercomputereinheit U aufweist 

Falls die Anonymitat der Benutzercomputereinheit U 
gewahrleistet werden soli, weist die dritte Nachricht M3 
anstatt der IdentitatsgroBe |MU| der Benutzercompute- 
reinheit U mindestens den zweiten verschliisselten 
Term VT2 auf, der die Information aber die Identitat der 
Benutzercomputereinheit U in verschlusselter Form 
enthalt, die nur von der Netzcomputereinheit N ent- 
schilisselt werden kann. 

Wenn die Verwendung des optionalen zweiten Da- 
tenfelds dat2 vorgesehen wird, weist die dritte Nach- 
richt M3 zusatzlich mindestens den dritten verschlussel- 
ten Term VT3 oder das optionale zweite Datenfeld dat2 
im Klartext auf. 

Wenn die dritte Nachricht M3 den ersten verschliis- 
selten Term VTl, den zweiten verschlusselten Term 
VT2 Oder den dritten verschlusselten Term VT3 enthalt, 
werden diese in der Netzcomputereinheit N entschliis- 
selt. Dies geschieht fUr den eventuell vorhandenen er- 
sten verschlusselten Term VTl vor der Verifikation des 
Signaturterms. 

Die dritte Nachricht M3 wird von der Benutzercom- 
putereinheit U zu der Netzcomputereinheit N ubertra- 
gen. 

Zusatzlich wird die Authentifikation der Benutzer- 
computereinheit U gegenuber der Netzcomputerein- 
heit N durch den Signaturterm gewahrleistet, durch de- 
ren Verwendung garantiert wird, daB die dritte Nach- 
richt M3 tatsachllch aktuell von der Benutzercompute- 
reinheit U gesendet wurde. 

In der Netzcomputereinheit N wird die dritte Nach- 
richt M3 decodiert und anschiieBend wird anhand eines 
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Benuterzertifikats CertU, das der Netzcomputereinheit 
N zur Verfiigung steht, der Signaturterm verifiziert 

Wenn fOr das erfmdungsgemafie Verfahren tempora- 
re Benutzeridentitaten vorgesehen werden, so wird das 
5 im vorigen beschriebene Verfahren um einige Verfah- 
rensschritte erweitert 

Zuerst muB der Netzcomputereinheit N bekannt ge- 
macht werden, welche Benutzercomputereinheit U eine 
neue temporare IdentititsgrdBe TMUIN von der Netz- 
10 computereinheit N zugewiesen bekommen solL 

Hierzu wird als zusatzlicher Bestandteii der ersten 
Nachricht Ml eine alte temporare IdentitatsgroBe 
TMUIO von der Benutzercomputereinheit U an die 
Netzcomputereinheit N Qbertragen. 
15 Nach Empfang der ersten Nachricht Ml ist somit in 
der Netzcomputereinheit N bekannt, fiir welche Benut- 
zercomputereinheit U die neue temporare Identitats- 
groBe TMUIN bestimmt ist 

In der Netzcomputereinheit N wird dann die neue 
20 temporare IdentitatsgroBe TMUIN fiir die Benutzer- 
computereinheit U gebiidet. Dies kann z. B. durch Ge- 
nerierung einer Zufallszahl oder durch Tabellen, in de- 
nen mdgliche IdentitatsgroBen abgespeichert sind, 
durchgefiihrt werden. Aus der neuen temporaren Iden- 
25 titatsgroBe TMUIN der Benutzercomputereinheit U 
wird in der Netzcomputereinheit N ein vierter ver- 
schliisselter Term VT4 gebiidet, indem die neue tempo- 
rare IdentitatsgroBe TMUIN der Benutzercompute- 
reinheit U mit dem Sitzungsschlussel K unter Verwen- 
30 dung der VerschlQsselungsfunktion Enc verschiusselt 
wird. 

In diesem Fall weist die zweite Nachricht N2 zusatz- 
lich mindestens den vierten verschliisselten Term VT4 
auf. Der vierte verschlQsselte Term VT4 wird dann in 
35 der Benutzercomputereinheit U entschlusselL Nun ist 
die neue temporare IdentitatsgroBe TMUIN der Benut- 
zercomputereinheit U in der Benutzercomputereinheit 
U verfugbar. 

Damit der Netzcomputereinheit N auch gewahrlei- 
40 stet wird, daB die Benutzercomputereinheit U die neue 
temporare IdentitatsgroBe TMUIN korrekt empfangen 
hat, weist die dritte EingangsgroBe fiir die erste Hash- 
Funktion hi oder fur die zweite Hash-Funktion h2 zu- 
satzlich mindestens die neue temporare IdentitatsgroBe 
45 TMUIN der Benutzercomputereinheit U auf. 

Da die Information der neuen temporaren Identitats- 
groBe TMUIN in dem Signaturterm in diesem Fall ent- 
halten ist, weist die dritte Nachricht M3 nicht mehr die 
IdentitatsgroBe IMUI der Benutzercomputereinheit U 
50 auf. 

Es ist auch moglich, die neue temporare Identitats- 
groBe TMUIN nicht in den Signaturterm zu integrieren, 
sondem den zweiten verschlQsselten Term VT2 zu bil- 
den, indem anstatt der IdentitatsgrdBe |MU| der Benut- 
55 zercomputereinheit U die neue temporare Identitats- 
groBe TMUIN mit dem SitzungsschlOssel K unter Ver- 
wendung der VerschlQsselungsfunktion Enc verschius- 
selt wird. In diesem Fall weist die dritte Nachricht M3 
zusatzlich den zweiten verschlusselten Temr VT2 auf. 
60 Die in dem erfindungsgemaBen Verfahren verwende- 
ten Hash-Funktionen, die erste Hash-Funktion hi, die 
zweite Hash-Funktion h2 und die dritte Hash-Funktion 
h3 kdnnen durch die gleiche, aber auch durch verschie- 
dene Hash-Funktionen realisiert werden. 

65 

PatentansprQche 
1. Verfahren zum rechnergestutzten Austausch 
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kryptographischer Schlussel zwischen einer Benut- 
zercomputereinheit (U) und einer Netzcompute- 
reinheit(N), 

— bei dem aus einer ersten Zufallszahl (t) mit 
Hilfe eines erzeugenden Elements (g) einer 5 
endlichen Gruppe in der Benutzercompute- 
reinheit (U) ein erster Wert (g*) gebildet wird, 

— bei eine erste Nachricht (Ml) von der Bc- 
nutzercomputereinheit (U) an die Netzcompu- 
tereinheit (N) Obertragen wird, wobei die er- 10 
sten Nachricht (Ml) mindestens den ersten 
Wert (g^) aufweist, 

— bei dem in der Netzcomputereinheit (N) ein 
Sitzungsschliissel (K) mit Hilfe einer ersten 
Hash-Funktion (hi) gebildet wird, wobei eine 15 
erste EingangsgroBe der ersten Hash-Funk- 
tion (hi) mindestens einen ersten Term auf- 
weist, der gebildet wird durch eine Exponen- 
tiation des ersten Werts (g^ mit einem gehei- 
men Netzschlussel (sX 20 

— bei dem in der Netzcomputereinheit (N) 
eine Antwort (A) gebildet wird, 

— bei dem eine zweite Nachricht (M2) von der 
Netzcomputereinheit (N) an die Benutzercoin- 
putereinheit (U) Obertragen wird, wobei die 25 
zweite Nachricht (M2) mindestens die Ant- 
wort (A) aufweist, 

— bei dem in der Benutzercomputereinheit 
(U) der Sitzungsschliissel (K) gebildet wird mit 
Hilfe der ersten Hash-Funktion (hi), wobei ei- 30 
ne zweite EingangsgrdBe der ersten Hash- 
Funktion (hi) mindestens einen zweiten Term 
aufweist, der gebildet wird durch eine Expo- 
nentiation eines offentlichen Netzschliissels 
(g*) mit der ersten Zufallszahl (t), 35 

— bei dem in der Benutzercomputereinheit 
(U) der Sitzungsschlussel (K) anhand der Ant- 
wort (A) uberpruft wird, 

— bei dem in der Benutzercomputereinheit 
(U) mit Hilfe einer zweiten Hash-Funktion (h2) 40 
Oder der ersten Hash-Funktion (hi) eine vierte 
EingangsgroBe gebildet wird, wobei eine dritte 
EingangsgroBe fiir die erste Hash-Funktion 
(hi) Oder fiir die zweiteHas^Funk^^^2) 

— Dei dem in der Benutzercomputere^ 
(U) ein Signaturterm aus mindestens der vier- 
ten EingangsgrdBe gebildet wird unter An- 
wendung einer ersten Signaturfunktion (Slgu), 50 

— bei dem eine dritte Nachricht (M3) von der 
Benutzercomputereinheit (U) an die Netzcom- 
putereinheit (N) Obertragen wird, wobei die 
dritte Nachricht (M3) mindestens den Signa- 
turterm und eine IdentitatsgroBe (IMUI) der 55 
Benutzercomputereinheit (U) aufweist, und 

— bei dem in der Netzcomputereinheit (N) der 
Signaturterm verifiziert wird. 

2. Verfahren nach Anspruch 1, 

— bei dem in der Netzcomputereinheit (N) die eo 
erste EingangsgroBe der ersten Hash-Funk- 
tion (hi) zusatzlich mindestens eine zweite Zu- 
fallszahl (r) aufweist, 

— bei dem die zweite Nachricht (M2) zusatz- 
lich die zweite Zufallszahl (r) aufweist, und 65 

— bei dem in der Benutzercomputereinheit 
(U) die zweite EingangsgroBe der ersten Hash- 
Funktion (hi) zusatzlich mindestens die zweite 
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Zufallszahl (r) aufweist 

3. Verfahren nach Anspruch 1 oder 2, 

— bei dem die erste Nachricht (Ml) zusitzlich 
mindestens eine aite temporare Identitatsgrd- 
Be (TMUIO) der Benutzercomputereinheit (U) 
aufweist, 

— bei dem in der Netzcomputereinheit (N), 
nach dem die ersten Nachricht (Ml) empfan- 
gen wurde und bevor die zweite Nachricht 
(M2) gebildet wird, fur die Benutzercompute- 
reinheit (U) eine neue temporare Identitats- 
gr6Be (TMUIN) der Benutzercomputereinheit 
(U) gebildet wird, 

— bei dem aus der neuen temporaren Identi- 
tatsgroBe (TMUIN) der Benutzercompute- 
reinheit (U) ein vierter verschlOsselter Term 
(VTA) gebildet wird, in dem die neue tempora- 
re IdentitatsgrdBe (TMUIN) der Benutzer- 
computereinheit (U) mit dem Sitzungsschlus- 
sel (KL) unter Anwendung der Verschiussel- 
ungsfunktion (Enc) verschlOsselt wird, 

— bei dem die zweite Nachricht (M2) zusatz- 
lich mindestens den vierten verschlusselten 
Term (VT4) aufweist, 

— bei dem in der Benutzercomputereinheit 
(U), nachdem die zweite Nachricht (M2) emp- 
fangen wurde und bevor die vierte Eingangs- 
groBe gebildet wird, der vierte verschlOsselte 
Term (VT4) entschlusselt wird, 

— bei dem die dritte EingangsgroBe fur die 
erste Hash-Funktion (hi) oder fOr die zweite 
Hash-Funktion (h2) zur Bildung der vierten 
EingangsgrCQe zusatzlich mindestens die neue 
temporare IdentitatsgrdBe (TMUIN) der Be- 
nutzercomputereinheit (U) aufweist, und 

— bei dem die dritte Nachricht (M3) nicht die 
IdentitatsgroBe (IMUI) der Benutzercompute- 
reinheit (U) aufweist. 

4. Verfahren nach einem der Anschlusse 1 bis 3, 

— bei dem in der Benutzercomputereinheit 
(U) vor Bildung der dritten Nachricht (M3) aus 
der IdentitatsgroBe (IMUI) der Benutzercom- 
putereinheit (U) ein zweiter verschlOsselter 
Term (VT2) gebildet wird, in dem die Identi- 
tatsgroBe (IMUI) mit dem SitzungsschlOssel 
(K) unter Anwendung der Verschlusselungs- 
funktion (Enc) verschlOsselt wird, 

— bei dem die dritte Nachricht (M3) anstatt 
der IdentitatsgrdBe (IMUI) der Benutzercom- 
putereinheit (U) den zweiten verschlOsselten 
Term (VT2) aufweist, und 

— bei dem in der Netzcomputereinheit (N), 
nachdem die dritte Nachricht (M3) empfangen 
wurde. der zweite verschlOsselte Term (VT2) 
entschlOsselt wird. 

5. Verfahren nach einem der AnsprOche 1 bis 4, 

— bei dem die zweite Nachricht (M2) zusatz- 
lich ein optionales erstes Datenfeld (datl) auf- 
weist und 

— bei dem die dritte EingangsgroBe fOr die 
erste Hash-Funktion (hi) oder fOr die zweite 
Hash-Funkuon (h2) zur Bildung der vierten 
EingangsgroBe zusatzlich mindestens das op- 
tionale erste Datenfeld (datl) aufweist 

6. Verfahren nach einem der AnsprOche 1 bis 5, 

— bei dem in der Benutzercomputereinheit 
(U) vor Bildung der dritten Nachricht (M3) ein 
dritter verschlOsselter Term (VT3) gebildet 
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wird, indem ein optionales zweites Datenfeld 
(dat2) mit dem Sitzungsschlussel (K) unter An- 
wendung der Verschliisselungsfunktion (Enc) 
verschlusselt wird, 

— bei dem die dritte Nachricht (M3) zusStzlich $ 
mindestens den dritten verschlusselten Term 
(VT3) aufweist, und 

— bei dem in der Netzcomputereinheit (N), 
nachdem die dritte Nachricht (M3) empfangen 
wurde, der dritte verschlusselte Term (VT3) lo 
entschiOsselt wird. 

7. Verfahren nach einem der Anspruche 1 bis 6, 

— bei dem in der Benutzercomputereinheit 
(U) vor Bildung der dritten Nachricht (M3) ein 
erster verschliisseiter Term (VTl) gebildet 15 
wird, indem der Signaturterm mit dem Sit- 
zungsschlussel (K) unter Anwendung der Ver- 
schliisselungsfunktion (Enc) verschlusselt wird, 

— bei dem die dritte Nachricht (MS) ansutt 
des Signaturterms den ersten verschlusselten 20 
Term (VTl) aufweist, und 

— bei dem in der Netzcomputereinheit (N), 
nachdem die dritte Nachricht (M3) empfangen 
wurde und bevor der Signaturterm verifiziert 
wird, der erste verschlusselte Term (VTl) ent- 25 
schKisseltwird. 

8. Verfahren nach einem der Anspruche 1 bis 7, bei 
dem in der Netzcomputereinheit (N) die Antwort 
(A) gebildet wird. indem eine Konstante (const), die 

in der Netzcomputereinheit (N) und in der Benut- 30 
zercomputereinheit (U) bekannt sind, mit dem Sit- 
zungsschlussel (K) unter Anwendung der Ver- 
schliisselungsfunktion (Enc) verschlusselt wird. 

9. Verfahren nach einem der Anspruche 1 bis 7, 

— bei dem in der Netzcomputereinheit (N) die 35 
Antwort (A) gebildet wird, indem auf den Sit- 
zungsschlussel (K) eine dritte Hash-Funktion 
(h3) angewendet wird. und 

— bei dem in der Benutzercomputereinheit 
(U) die Antwort (A) uberpriift wird, indem auf 40 
den Sitzungsschlussel (K) die dritte Hash- 
Funktion {h3) angewendet wird, und das Er- 
gebnis mit der Antwort (A) verglichen wird. 

10. Verfahren nach einem der Anspruche 1 bis 7 
Oder 9, bei dem in der Benutzercomputereinheit (U) 45 
die Antwort (A) uberpriift wird, indem die Kon- 
stante (const) mit dem Sitzungsschiiissel (K) unter 
Anwendung der Verschliisselungsfunktion (Enc) 
verschliisselt wird und das Ergebnis mit der Ant- 
wort (A) verglichen wird. 50 

11. Verfahren nach einem der Anspriiche 1 bis 7 
Oder 9. bei dem in der Benutzercomputereinheit (U) 
die Antwort (A) uberpruft wird. indem die Antwort 
(A) mit dem Sitzungsschiiissel (K) unter Anwen- 
dung der Verschliisselungsfunktion (Enc) entschliis- 55 
selt wird und eine entschliisselte Konstante (const') 
mit der Konstante (const) verglichen wird. 

12. Verfahren nach einem der Anspriiche 1 bis 5, bei 
dem die dritte Nachricht (M3) zus^tzlich minde- 
stens ein optionales zweites Datenfeld (dat2) auf- eo 
weist 



Hierzu 2 Seite(n) Zeichnungen 



65 



BNSDOCID: <DE_1 951 ©54601 _L> 



Leerseite 



BNSDOCID: <DE_19518546C1 J_> 



ZEICHNUNGEN SEITE 1 Nummer: DE 195 18 546 CI 

lnt.CI.6: H04L 9/00 

Verdff entiichungstag: 1 . August 1 996 



Benutzercomputereinheit U 



Generiening einer 
ersten Zuf allszahl t 



I 



Berechnen eines 
ersten Werts 



Ml =g^ 



Netzcomputereinheit N 



Berechnen des Sitziingsschlussel5 
K:= hl((gS)t) 
I 



I Uberpriifen der Antwort A 



.Berechneneines Signaturterms 



M2 = A 



Berechnen eines Sitzimgsschliissels 
K:=hl((gt)S) 



Berechnen einer Antwort A 



M3 = En c %u f h a U 11 dat >( i| dctU ))) 1 1 1 M U 
> 



Verifizieren von 
Sigu( h2(K II datal || data2) 

anhand eines Benutzerzertifikats 
CertU des Offentlichen 
Benutzerschlii&sels 



Figur 1 



602131/259 



BNSDOCID: <DE_19518546C1_U> 



ZEICHNUNGEN SEITE 2 



Benutsercomputereinheit U 



Generierung einer 
ersten Zufallszahl t 



T 



Beiechnen eines 
ersten Werts 



Ml=g^ 



M2 = r II A II datl 



Nummer: 
Int. CI «: 

Verdffentlichungstag: 



DE 195 18 546 CI 
H04L 9/00 

I.August 1996 



Netzcomputereinheit N 



Generierung einer zweiten 
Zufallszahl t 



Berechnen eines Sitzungsschlussels 
K:=hl((g^)S II r) 



Berechnen einer Antwort 
A:= Enc (K. const) 



Berechnen des Sitzungsschlussels 
K:= hl((gS)t|jr) 



Uberprilfen der Antwort A I 



Berechnen eines ersten verschlusselten Terms 
VTl := Enc(K, SigyiC h2Sl& datl II dat2))) 



Berechnen eines zweiten verschlusselten Terms 
VT2 := Enc (K, IMUI) 



Berechnen eines dritten verschliisseiten Terms 
VT3 := Enc (K, dat2) 



M3 = VT1 II VT2 



DOCKET m:£MMlJJ£±l 

SERIAL NO: o^/fo^,^^^ _ 

APPLJCANT: Hom e^U 

LERNER AND GREENBERG RA. 

RO. BOX 2480 
HOLLYWOOD, FLORIDA 33022 
TEL (954) 925-1100 



VT3 



EntschlUsseln von 
VTl, VT2 und VT3 



Verifizieren von 
Sigu( h2(K II datal || data2) 
anhand eines Benutzerzertifikats 
CertU des offentlichen 
Benutzerschlussels • 



Figur2 



602131/259 



BNSDOCID: <DE 19518546C1 J_> 



This Page is Inserted by IFW Indexing and Scanning 
Operations and is not part of the Official Record 

BEST AVAILABLE IMAGES 

Defective images within this document are accurate representations of the original 
documents submitted by the appUcant. 

Defects in the images include but are not limited to the items checked: 

□ BLACK BORDERS 

□ IMAGE CUT OFF AT TOP, BOTTOM OR SffiES 

□ FADED TEXT OR DRAWING 

□ BLURRED OR ILLEGIBLE TEXT OR DRAWING 

□ SKEWED/SLANTED IMAGES 

□ COLOR OR BLACK AND WHITE PHOTOGRAPHS 

□ GRAY SCALE DOCUMENTS 

□ LINES OR MARKS ON ORIGINAL DOCUMENT 

□ REFERENCE(S) OR EXHIBIT(S) SUBMITTED ARE POOR QUALITY 

□ OTHER: 

IMAGES ARE BEST AVAILABLE COPY. 
As rescanning these documents will not correct the image 
problems checked, please do not report these problems to 
the IFW Image Problem Mailbox. 



7^ 



